Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

Datenschutzkonforme Nutzung von Microsoft 365?

Cloud Privacy Service von T-Systems als Krücke

31. August 2021

Seit dem Schrems II – Urteil des EuGH vom 16.07.2020 haben Nutzer von Officeanwendungen in der der Cloud aus den USA, bspw. Microsoft 365, das Problem des nicht angemessenen Schutzniveaus (bspw. Forderungen von US-Behörden auf Herausgabe von Anwenderdaten, kein Rechtsschutz für Nichtamerikaner). Zumutbare Alternativangebote zur US-Cloudinfrastrukturen und Anwendungen sind in Europa noch nicht in Sicht.

Nun gibt es ein Angebot von T-Systems technisch den Zugriff von US-Behörden auf Microsoft 365 zu unterbinden. Der „Cloud Privacy Service“ nutze hierfür einen verschlüsselten Gateway und kostet 3,99 EUR mehr je Nutzer und Monat (unter 250 Mitarbeiter) gegenüber dem üblichen Preis für Microsoft 365 und einmalige Einrichtungskosten von 4.999 EUR sind fällig. Die Webanwendungen von Office, Exchange, OneDrive werden dann in Rechenzentren von T-Systems betrieben. Microsoft erhält keine Klarnamen, da die Anmeldung über T-Systems pseudonymisiert erfolgt.

Der Gateway verschlüssele (AES 256) Daten, welche die T-Systems-Rechenzentren in Richtung Microsoft Server verlassen und entschlüsselt in umgekehrter Richtung, wenn bspw. ein anderer berechtigter Nutzer auf die Daten zugreifen möchte. Auf den T-Systems-Servern liegen weiterhin die unverschlüsselten Daten in der EU. US-Behörden haben „nur“ Zugriff auf verschlüsselte bzw. chiffrierte Inhalte auf den Microsoftservern. Sie haben gegen T-Systems keinen Durchgriff.

Statt des Workarounds wären europäische Lösungen auf der ersten Ebene der Cloudinfrastruktur zielführender, aber das Angebot von T-Systems ist aus datenschutzrechtlicher Sicht besser, als Microsoft 365 direkt zu nutzen und sich Bußgeld- und Haftungsrisiken auszusetzen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)